OVH Community, votre nouvel espace communautaire.

Scan SSH sur le réseau OVH


Nowwhat
01/06/2014, 00h22
Mais non, t'as rien compris

Peut être: Le propriétaire de 5.135.157.161 a du se tromper dans un script, IP, nom de domaine, puis il a ciblé ton serveur au lieu d'un autre.
édit: Le type, il code http://ns3301007.ip-5-135-157.eu/ == 5.135.157.161

Quand t'as des milliers des requêtes pendant des semaines venant d'un IP bien précis, là, à la limite, fabrique toi un petit mail avec:
QUI TU es,
QUI t'attaque,
DEPUIS quand,
et hop, vers abuse@ovh.net

Quand on te sonne à ta porte d'entrée 5 fois, et quand tu ouvre ta porte pour trouver personne, et que tu informe le Gendarmerie (désolé, pas de Police en campagne) on t’envoie bouler ....

Sinon va voir : http://www.papy-team.org/munin/papy-...all_jails.html - une partie considérable viens d'OVH(KS) - le ligne jaune sont des tentatives SSH - mais tu trouve aussi des POP, smtp, DNS, etc etc.
Le truc extrême est réservé pour ceux avec un serveur FTP encore ouverte - ça grouille - ça bouffe carrément une pourcentage de ta bande passant et la capacité de ton serveur. Le courbes de ban sont fort comparable avec les périodes vacances scolaires en plus.

Et bien sur, ne ban pas pour 10 minutes mais pour quelques jours, voir une semaine.

Chaque semaine, on a le même messages sur ce forum avec le même sujet.... va voir toi même

Noxiweb
31/05/2014, 23h24
Bonjour,

Etonnant quand même qu'OVH ne bloque pas ce genre de chose de façon automatique :

Hi,

The IP 5.135.157.161 has just been banned by Fail2Ban after
5 attempts against SSH.


Here are more information about 5.135.157.161:

[Requête en cours whois.arin.net]
[Redirigé vers whois.ripe.net:43]
[Requête en cours whois.ripe.net]
[whois.ripe.net]
% This is the RIPE Database query service.
% The objects are in RPSL format.
%
% The RIPE Database is subject to Terms and Conditions.
% See http://www.ripe.net/db/support/db-terms-conditions.pdf

% Note: this output has been filtered.
% To receive output for a database update, use the "-B" flag.

% Information related to '5.135.152.0 - 5.135.159.255'

% Abuse contact for '5.135.152.0 - 5.135.159.255' is 'abuse@ovh.net'

inetnum: 5.135.152.0 - 5.135.159.255
netname: OVH
descr: OVH SAS
descr: Dedicated servers
descr: http://www.ovh.com
country: FR
admin-c: OK217-RIPE
tech-c: OTC2-RIPE
status: ASSIGNED PA
mnt-by: OVH-MNT
source: RIPE # Filtered

role: OVH Technical Contact
address: OVH SAS
address: 2 rue Kellermann
address: 59100 Roubaix
address: France
admin-c: OK217-RIPE
tech-c: GM84-RIPE
nic-hdl: OTC2-RIPE
abuse-mailbox: abuse@ovh.net
mnt-by: OVH-MNT
source: RIPE # Filtered

person: Octave Klaba
address: OVH SAS
address: 2 rue Kellermann
address: 59100 Roubaix
address: France
phone: +33 9 74 53 13 23
nic-hdl: OK217-RIPE
abuse-mailbox: abuse@ovh.net
mnt-by: OVH-MNT
source: RIPE # Filtered

% Information related to '5.135.0.0/16AS16276'

route: 5.135.0.0/16
descr: OVH
origin: AS16276
mnt-by: OVH-MNT
source: RIPE # Filtered

% This query was served by the RIPE Database Query Service version 1.73.1 (DBC-WHOIS3)

Regards,

Fail2Ban